Entre el 3 y el 4 de marzo de 2026, una operación coordinada por Europol dejó fuera de servicio LeakBase, un foro usado para intercambiar bases de datos filtradas y credenciales robadas. En España hubo actuaciones en A Coruña y Bizkaia, con registros y material informático intervenido, según las fuerzas de seguridad.
¿Te han pedido alguna vez una foto del DNI para una compra rápida o una reserva? El policía Guillermo Peláez, del Grupo de Investigación Tecnológica de la Policía Nacional en A Coruña, lo deja claro con una frase, “para comprar un artículo a través de Wallapop, no es necesario facilitar el DNI, de ninguna manera”. Y si un trámite lo exige, añade otra idea igual de práctica, “si lo necesitas para un contrato puedes ponerle una marca de agua”.
LeakBase en cifras
LeakBase no era un rincón “oculto” de internet, era accesible desde la web normal y con contenido sobre todo en inglés. Mezclaba el formato de foro con el de mercado y usaba un sistema de créditos y reputación, puntos y valoraciones para generar confianza entre delincuentes.
Las autoridades describen una plataforma enorme. En diciembre de 2025, LeakBase superaba los 142.000 usuarios registrados y acumulaba decenas de miles de publicaciones y mensajes privados. La operación incluyó la incautación de su base de datos y de dominios, además de actuaciones policiales en varios países.
En España, la Policía Nacional y la Guardia Civil explican que la investigación permitió registrar domicilios y analizar equipos para identificar a más implicados. También subrayan una idea incómoda pero útil, cuando hay una filtración, la información robada no desaparece, puede reaparecer en foros y estafas. Más detalles están en la nota oficial de la Policía Nacional.
Qué datos se venden
No se comercia solo con correos y contraseñas. Se venden nombres, teléfonos, direcciones, datos bancarios y números de tarjetas, además de listas robadas por programas maliciosos que “aspiran” credenciales de ordenadores infectados. El Departamento de Justicia de Estados Unidos incluye este tipo de información como material habitual para fraudes y secuestro de cuentas.
Peláez insiste en que esto suele ser el inicio, no el golpe final. “Los ciberdelincuentes no pueden cometer estafas en sí” solo con esos datos, dice, porque el trabajo está “parcelado” y luego se vende a quien estafa. Ese segundo paso suele apoyarse en “ingeniería social”, que es básicamente convencerte para que tú entregues el código de verificación o la clave.
Por eso hay víctimas que reciben intentos de engaño semanas o meses después. Los datos se revenden, se copian y acaban en nuevas campañas que llegan por SMS, email o llamada. Un día parece un mensaje más, y ahí es donde se juega la partida.
El DNI en el punto de mira
El DNI se cotiza alto porque ayuda a suplantar identidades en trámites y servicios online. Peláez advierte que ni siquiera hace falta el documento físico, ya que “con una fotografía del DNI” puede bastar para intentar usar tus datos.
Su recomendación para el día a día es simple y muy práctica. Para una compraventa en plataformas de segunda mano, “no es necesario facilitar el DNI, de ninguna manera”, insiste. Si el envío es inevitable, sugiere marcar la copia con el motivo, para que no se pueda reutilizar sin que se note.
INCIBE también recomienda proteger la copia del documento con medidas como marca de agua y ocultar partes sensibles, pensando justo en este tipo de suplantaciones. Lo explica con ejemplos en un caso real sobre fraude y uso indebido del DNI.
Higiene digital básica
Peláez propone separar lo sensible del ordenador de uso diario. Guardar contratos, facturas o datos bancarios en un pendrive o un disco duro externo reduce el daño si el equipo principal se infecta o cae en manos ajenas.
También recomienda usar el modo incógnito para la banca online, porque al cerrar el navegador no se guardan datos de esa sesión en el equipo. No te protege de todo, pero ayuda a dejar menos rastro local, sobre todo si compartes ordenador en casa.
A esto se suma lo básico que a veces se olvida. Mantener el sistema actualizado y usar antivirus y firewall ayuda a tapar fallos que se usan para robar credenciales. INCIBE explica en su guía sobre suplantación de identidad cómo los engaños cambian de canal, pero suelen buscar lo mismo.
Si te llaman del banco
El momento típico es una llamada que mete prisa y suena “seria”. Peláez lo dice tal cual, “Si nos llaman por teléfono haciéndose pasar por nuestra entidad bancaria, pues no hacer nada, con no hacer nada ya es suficiente”. A veces, la mejor defensa es no seguir la conversación.
La Policía Nacional ha avisado de estafas que incluso suplantan el número real de una entidad para parecer creíbles. En esos casos, recomiendan no dar datos personales ni bancarios y no teclear claves o códigos durante la llamada, aunque te lo pidan “por seguridad”. Está explicado en una nota sobre spoofing.
Si crees que ya es tarde, actúa rápido. Denuncia la pérdida o robo del DNI y renuévalo, y si tienes dudas busca orientación antes de mover dinero o enviar documentos. INCIBE recuerda que puedes llamar al017, un servicio gratuito y confidencial para consultas de ciberseguridad.
La nota de prensa oficial se ha publicado en Europol.
